사이버, 인터넷 보안 인증인 CISM과 CISSP 차이점 알아보기

 

 

두 가지 중요한 사이버 보안 인증 체계가 있죠. 바로 CISM과 CISSP인데요. 오늘은 두 가지 보안 인증 체계에 어떤 차이점이 있는지 자세히 알아보는 시간을 가져보도록 하겠습니다.

 

 

 

CISM (Certified Information Security Manager)과 CISSP (Certified Information Systems Security Professional)는 두 가지 중요한 사이버 보안 인증으로, 정보 보안 전문가에게 매우 인기 있기가 많은 체계죠. 그러나 이 두 인증은 다루는 주제, 초점, 대상, 그리고 자격 요건에서 차이가 있습니다. CISM은 관리 및 전략에 더 중점을 두고 있으며, CISSP는 보다 기술적인 지식과 실무를 강조한다고 볼 수 있는데요. 그럼 두 가지 사이에 어떤 차이점이 있는지 살펴보겠습니다.

 

1. 인증 초점

CISM (Certified Information Security Manager)

 

CISM은 정보 보안 관리 및 전략에 중점을 둡니다. 보통은 기업 내 보안 관리 책임자나 리더십 역할을 수행하는 전문가들을 위한 것인데요. 따라서 보안 정책, 리스크 관리, 거버넌스, 그리고 보안 프로그램 개발 및 관리를 다룹니다. CISM은 기술적인 요소보다는 관리적 요소에 초점을 맞추고 있으며, 보안 전략 수립과 조직 전체의 보안 통제 및 감독을 중요시합니다.

주요 초점

정보 보안 거버넌스
정보 리스크 관리
정보 보안 프로그램 개발 및 관리 

정보 보안 사고 대응 관리

CISSP (Certified Information Systems Security Professional) 

 

CISSP는 더 폭넓고 기술적인 보안 지식을 요구합니다. 따라서 정보 보안의 다양한 기술적 및 관리적 측면을 포괄하며, 정보 보안 전문가나 컨설턴트, 보안 설계자와 같은 기술적 역할을 맡고자 하는 이들에게 적합합니다. CISSP는 네트워크 보안, 암호화, 보안 아키텍처 및 엔지니어링, 자산 보안 등 다양한 보안 도메인을 다룹니다.

주요 초점

보안 및 리스크 관리
자산 보안
보안 아키텍처 및 엔지니어링
통신 및 네트워크 보안
소프트웨어 개발 보안

2. 대상자 및 역할

CISM

CISM은 보안 관리에 집중하는 사람들에게 적합합니다. 따라서 보안 프로그램을 설계하고 운영하는 보안 관리자가 주로 이 인증을 취득합니다. CISM 자격증을 가진 사람은 조직 내에서 정보 보안 관리 역할을 수행하거나 고위 관리직에 있는 경우가 많습니다.

적합한 대상

정보 보안 관리자
IT 보안 팀 리더
리스크 관리자
보안 감사자
보안 전략가

CISSP

CISSP는 기술적 보안 전문가에게 적합합니다. 정보 보안의 전반적인 분야에서 폭넓은 지식을 요구하며, 보안 설계, 컨설팅, 감사, 운영 등 다양한 역할에 적합합니다. 보안 엔지니어링, 네트워크 보안 등의 기술적 문제를 다루는 데 중점을 둡니다.

적합한 대상

보안 컨설턴트
보안 분석가
보안 엔지니어
보안 설계자
IT 감사자

3. 자격 요건

CISM

최소 5년 이상의 정보 보안 관리 경험이 필요하며, 그중 3년은 특정 정보 보안 관리 도메인에서 경력을 쌓아야 합니다.
경험 요건은 시험에 합격한 후에도 제출할 수 있습니다. 또한 특정 학위나 다른 보안 관련 자격증을 통해 경력을 부분적으로 대체할 수 있습니다.

CISSP

최소 5년 이상의 정보 보안 경력이 요구됩니다. 이 경력은 8개의 CISSP 도메인 중 2개 이상의 도메인에서 얻어야 합니다.
학사 학위나 승인된 자격증이 있으면 1년의 경력 요구 사항을 면제받을 수 있습니다.
경력이 없는 경우, 시험에 합격한 후 'Associate of (ISC) ²'로 인정받고, 나중에 경력을 충족할 수 있습니다.

4. 시험 내용

CISM

CISM 시험은 정보 보안 관리에 중점을 둔 4개의 도메인으로 구성되어 있습니다.
정보 보안 거버넌스
정보 리스크 관리
정보 보안 프로그램 개발 및 관리 정보 보안 사고 대응
시험은 약 150개의 문제로 구성되며, 총 4시간이 주어집니다. CISM 시험은 관리적 측면에서 전략적 사고와 의사 결정을 평가합니다.

CISSP

CISSP 시험은 8개의 도메인으로 구성됩니다.

보안 및 리스크 관리
자산 보안
보안 아키텍처 및 엔지니어링
통신 및 네트워크 보안
ID 및 접근 관리 (IAM)
보안 평가 및 테스트
보안 운영
소프트웨어 개발 보안

CISSP 시험은 컴퓨터 적응형 시험으로 약 100~150개의 문제를 풀며, 3시간 동안 진행됩니다. 기술적 지식과 관리적 요소가 모두 시험에 포함됩니다.

5. 인증 유지 및 재인증 요건

CISM

CISM 인증은 매년 유지 관리가 필요합니다. 자격 유지를 위해서는 매년 20시간 이상의 계속 교육(CPE)을 이수하고, 3년마다 120시간의 CPE를 기록해야 합니다.
또한 매년 자격 유지 수수료를 지불해야 합니다.

CISSP

CISSP 인증도 유지 관리가 필요하며, 매년 40시간 이상의 CPE를 이수하고, 3년마다 총 120시간의 CPE를 기록해야 합니다.
또한 매년 자격 유지 수수료를 지불해야 합니다.

6. 급여 및 커리어 전망

CISM

CISM 인증 보유자는 보안 관리자 및 리더십 역할을 맡게 되며, 특히 정보 보안 거버넌스와 리스크 관리에 대한 깊은 이해를 바탕으로 중요한 의사 결정을 내리는 역할을 합니다. 이에 따라 CISM 보유자는 보통 고위급 보안 관리자로 진출할 가능성이 큽니다.

CISSP

CISSP는 다양한 보안 도메인에 대한 폭넓은 지식을 요구하기 때문에, 보안 설계자, 보안 컨설턴트, 보안 관리자 등 기술적 직책에서 높은 수요를 자랑합니다. CISSP 보유자는 다양한 사이버 보안 프로젝트에 참여할 수 있으며, 기술적 역량을 통해 기업 내 보안 시스템을 구축하고 관리하는 데 중요한 역할을 합니다.

결론적으로,
CISM: 보안 관리와 전략적 의사 결정에 중점을 둔 정보 보안 리더십 역할을 목표로 한다면 CISM이 적합하다고 할 수 있습니다.
CISSP: 보다 기술적인 사이버 보안 전문가가 되고 싶다면 CISSP가 더 적합합니다.

 

각 인증은 보안 분야 내의 서로 다른 커리어 경로를 가지고 있고, 자신의 직업적 목표와 관심사에 맞추어 선택하는 것이 중요하다고 결론 지을 수 있습니다. 이상 도움 되시길 바라겠습니다. 감사합니다.